sabato 21 gennaio 2012

'Il vostro ordine di riferimento e' ...... ' (21 gennaio)

Ritorna una nota distribuzione di malware attraverso mails come quella ricevuta da poco

che presenta link ad eseguibile ''mascherato' nel nome dall'uso di una lunga serie di caratteri underscore

Ecco come si presenta il contenuto del file zip linkato in mail prima

e dopo aver ridimensionato la colonna relativa al nome del file

Una analisi Virus Total mostrava, al momento della scrittura del post, riconoscimento nullo per il file estratto dallo zip

mentre il file nel formato zip viene riconosciuto come possibile malware da ben pochi softares AV

Questi gli header in mail

mentre per quanto si riferisce all'hosting del file, probabile malware, vediamo alcuni ulteriori dettagli:

Il lnk in mail punta a sito italiano compromesso di vendita 'caffe'

con whois

Detto sito parrebbe ospitare due differenti folders che hostano l'eseguibile malware

ma non solo.

Una ricerca piu' approfondita porta infatti a trovare alcuni codici relativi a questa 'nota' pagina fake dal layout di e-card

gia' ampiamente vista e descritta in passato in questo post.

Una breve analisi del codice offuscato indica che al momento l'indirizzo presente non e' piu' attivo.

Ritornando al file eseguibile una sua analisi con Anubis mostra che lo stesso si connette ad indirizzo con whois

e riferimento a file che ritroviamo gia' in una precedente analisi malware Sophos.
In ogni caso si tratta di una azione di spam pericoloso che potrebbe, grazie al fake nome del file e la doppia estensione mascherata, far cliccare sull'eseguibile,tanto piu' che al momento detto codice sembra praticamente sconosciuto ai piu' diffusi software AV anche se, come sempre, c'e' da tenere conto dei limiti di una scansione on-line on-demand quale quella di Virus Total.

Edgar

Nessun commento: